©Maryna/Adobe Stock

1. Juli 2025

Bundesarbeitsgericht: Kein Schadenersatz bei verspäteter Auskunft nach Art. 15 DSGVO

Kategorien: Rechtsberatung

Inhaltsverzeichnis

Auch im Arbeitsverhältnis nehmen Auskunftsansprüche nach Art. 15 DSGVO eine immer wichtigere Rolle ein. Doch wann begründet ein Verstoß gegen diese Auskunftspflicht tatsächlich einen Anspruch auf immateriellen Schadenersatz nach Art. 82 DSGVO? Mit dieser Frage beschäftigte sich das Bundesarbeitsgericht (BAG) in seinem Urteil vom 20. Februar 2025 (8 AZR 61/24).  

Art. 82 DSGVO: Wann besteht Anspruch auf Schadensersatz? 

Art. 82 Abs. 1 DSGVO gewährt betroffenen Personen einen Anspruch auf Ersatz sowohl materieller als auch immaterieller Schäden. Unter einem immateriellen Schaden ist eine Beeinträchtigung zu verstehen, die nicht vermögensrechtlichen Charakter hat, wie etwa der Verlust der Kontrolle über personenbezogene Daten, emotionale Belastung oder der Eingriff in das Persönlichkeitsrecht. Die DSGVO selbst enthält keine abschließende Definition des Begriffs.  

Nach dem unionsrechtlichen Verständnis ist allerdings von einem weiten Schadensbegriff auszugehen. Entscheidend ist, dass die geltend gemachte Beeinträchtigung konkret und nachvollziehbar dargelegt wird. Abstrakte Sorgen, ein bloßer Unmut oder rein subjektiv empfundene Unannehmlichkeiten genügen grundsätzlich nicht. Erforderlich ist eine tatsächliche, spürbare Auswirkung auf die betroffene Person infolge des jeweiligen Datenschutzverstoßes.  

Auskunftspflicht nach Art. 15 DSGVO im Arbeitsverhältnis richtig verstehen 

Mitarbeitende haben nach Art. 15 DSGVO das Recht, Auskunft über gespeicherte personenbezogene Daten zu verlangen. Arbeitgeber sind danach verpflichtet, diese Auskunft in der Regel binnen eines Monats (Art. 12 Abs. 3 DSGVO) vollständig zu erteilen. Kommt es zu Verzögerungen oder unvollständigen Antworten, stellt sich die Frage, ob betroffene Personen Schadensersatz verlangen dürfen. 

Was Sie auch interessieren könnte: 

Bundesarbeitsgericht zum DSGVO-Auskunftsanspruch: Der Fall im Detail 

Im konkreten Fall hatte ein ehemaliger Arbeitnehmer sechs Jahre nach Beschäftigungsende Auskunft über die zu seiner Person gespeicherten Daten verlangt. Die Antwort der Arbeitgeberin erfolgte aus seiner Sicht verspätet und unzureichend. Er machte daher einen immateriellen Schadenersatzanspruch nach Art. 82 DSGVO geltend – unter anderem mit dem Hinweis auf einen Kontrollverlust über seine Daten und der Belastung durch die rechtliche Auseinandersetzung. 

Das Arbeitsgericht hatte der Klage zunächst stattgegeben und dem Kläger 10.000,00 Euro zugesprochen. In der Berufung wies das Landesarbeitsgericht die Klage hingegen ab und wurde mit dem vorliegenden Urteil des BAG schlussendlich bestätigt. Das BAG ließ in seiner Entscheidung zwar offen, ob dem Grunde nach ein Verstoß gegen die DSGVO vorlag. Selbst wenn – so das BAG – reiche das allein nicht aus, um einen Anspruch auf Entschädigung nach der DSGVO zu begründen.  

Für einen Anspruch nach Art. 82 DSGVO müssen die folgenden Voraussetzungen vorliegen:  

  • ein Verstoß gegen die Auskunftspflicht, 
  • ein konkreter immaterieller oder materieller Schaden 
  • ein kausaler Zusammenhang zwischen Verstoß und Schaden. 

Das Bundesarbeitsgericht betont in seiner Entscheidung, dass ein bloßes Unwohlsein, Ärger oder allgemeine Befürchtungen nicht ausreichen können, um einen immateriellen Schaden zu begründen. Es muss deutlich werden, welche konkrete Beeinträchtigung durch die verspätete Auskunft eingetreten ist, etwa die greifbare Gefahr eines tatsächlichen Datenmissbrauchs. Der bloße Hinweis auf Kontrollverlusts‘ genügt demnach nicht. 

Kontrollverlust als immaterieller Schaden? Die Anforderungen des EuGH 

Der Begriff Kontrollverlust wird in der Rechtsprechung häufig als möglicher immaterieller Schaden genannt. Das BAG folgt hier der Linie des Europäischen Gerichtshofs (EuGH). Nach der Rechtsprechung des EuGH kann ein Kontrollverlust zwar grundsätzlich einen immateriellen Schaden darstellen, jedoch nur dann, wenn die betroffene Person nachvollziehbar darlegt, dass ihre Befürchtung eines Datenmissbrauchs berechtigt ist.  

Im vorliegenden Fall gab es hingegen keine Hinweise auf eine unzulässige Weitergabe oder Verwendung der Daten. Auch frühere Auskünfte waren korrekt erteilt worden. Die pauschale Behauptung, es könne „Schindluder“ mit den Daten betrieben werden, reichte nicht aus. 

Darlegungslast bei DSGVO-Schadensersatz: Was Betroffene beachten müssen 

Die Entscheidung des Bundesarbeitsgerichts unterstreicht die Bedeutung der Darlegungslast bei Schadensersatzforderungen im Datenschutzrecht. Ein Anspruch auf Art. 82 DSGVO setzt voraus, dass Betroffene konkret darlegen, welche persönliche Beeinträchtigung durch den Datenschutzverstoß entstanden ist.  

Ein immaterieller Schaden wird also nicht vermutet, sondern muss individuell und substanziiert nachgewiesen werden. Pauschale Behauptungen reichen nicht. 

Unsere Einschätzung: DSGVO-Verstöße führen nicht automatisch zu Schadensersatz  

Mit diesem Urteil stellt das Bundesarbeitsgericht erneut klar, dass nicht jeder Verstoß gegen die DSGVO automatisch einen Schadensersatzanspruch nach sich zieht. Nicht jede Datenschutzpanne wird also zwangsläufig teuer für den Arbeitgeber. 

Besonders aus Arbeitgebersicht ist diese Entscheidung zu begrüßen. In den vergangenen Jahren war zunehmend zu beobachten, dass ehemalige Mitarbeitende nach dem Ausscheiden aus dem Unternehmen versuchen, durch unbegründete DSGVO-Forderungen Druck auszuüben. Häufig geschieht dies im Zusammenhang mit Kündigungsschutzklagen, um die eigene Verhandlungsposition bei etwaigen Vergleichsgesprächen zu verbessern. Da sowohl die Rechtsprechung als auch die Systematik der DSGVO teilweise undurchsichtig ist, empfiehlt sich bei drohenden Ansprüchen eine frühzeitige rechtliche Beratung. 

Haben Sie Fragen zum Thema Datenschutz im Arbeitsverhältnis? Rechtsanwalt Luca Jatzek steht Ihnen gerne zur Seite. Kontaktieren Sie uns – wir unterstützen Sie zuverlässig. 

Luca Jatzek

Luca Jatzek

Rechtsanwalt

Tags

DatenschutzDSGVOEuGH

Expert:innen zu diesem Thema

Keine passenden Personen gefunden.

Das könnte Sie auch interessieren

  • GoBD-Änderung wegen E-Rechnung: Was Unternehmen ab 2025 beachten müssen

    Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) sind erneut angepasst worden. Mit dem BMF-Schreiben vom 14.07.2025 wurde die GoBD zum zweiten Mal seit 2019 aktualisiert – diesmal vor [...]

    Lars Rinkewitz

    16. Juli 2025

  • Wie steht es um die DAC6: Mitteilungspflicht für grenzüberschreitende Steuergestaltungen?
    Wie steht es um die DAC6: Mitteilungspflicht für grenzüberschreitende Steuergestaltungen?

    Die Ausgestaltung der Mitteilungspflicht für grenzüberschreitende Steuergestaltung wird als Tiefpunkt in der Steuergesetzgebung Deutschlands bezeichnet. Auch wenn die Sanktionsverschärfung vorerst abgewendet werden konnte, steht die Erweiterung der Mitteilungspflichten auf rein innerstaatliche Steuergestaltungen weiterhin zur Debatte.

    Julian Heesemann

    21. Juli 2023

  • Rechtsweg bei Klagen auf Auskunft nach DSGVO gegen ein Finanzgericht

    Die Datenschutz-Grundverordnung (DSGVO) gewährt betroffenen Personen weitreichende Auskunftsrechte. Doch welcher Rechtsweg ist einschlägig, wenn ein Finanzgericht eine solche Auskunft verweigert? Diese Frage wurde kürzlich vom Bundesfinanzhof (BFH) in seinem Beschluss vom 24. Januar 2025 (IX B 99/24) entschieden. Der BFH [...]

    Esengül Aslan

    03. Apr. 2025